<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>
Ang magilas na sertipiko ng SSL
</title>
</head>
<body bgcolor="#ffffff">
<h1>Magilas na Opsyonal ng SSL at mga Katunayan</h1>
	<p>
	Ang OWASP ZAP ay pinapayagan kang makitang malinaw ang descrypt SSL na koneksyon.
	Sa pag gawa nito, ang AP ay mayroong encrypt sa bawat kahilingan bago ipasa sa server at derypt sa bawat sagot, kung saan ito ay bumabalik.
	Ngunit, ito ay kasalukuyang tapos na ng browser.
	Kaya nga, ang tanging paraan upang i-decrypt o maharang ang pag send o pag hatid ay upang gawin ang isang 'tao sa gitna' ('man in the middle') na diskarte.
	</p>


<h2>Balik Tanaw</h2>
<p>
	<img alt="ang lalaki sa gitna" src="../../../images/maninthemiddle.png">
</p>
<p>
	Sa maikling mga salita, ang lahat ng datos na sinesend o pinpasa kay at ang mga nirerecieve o tinatanggap galing kay ay naka encrypt/naka decrypt sa pamamagitan ng pag gamit ng orihinal na katunayan ng server sa loob ng ZAP. Sa ganitong paraan. Ang ZAP ay alam ang malinaw ng teksto.
	Para maisagawa ang Protektadong sesyon ng SSL mula sa iyo (browser mo), Gagamitin ng ZAP ang sariling katunayan. Ito ang isa sa kaya mong likhain o gawin.
	Ang bawat katunayan na ginawa ng ZAP ay pipirmahan ng kaparehong pangalan ng server. Sa halimbawa sa itaas, ang ZAP ay gagawa ng katunayan para sa mga pangalan ng server "www.example.com". Sa ganitong paraan. ang iyong browser ay gagawin ang regular ng SSL encryption.
</p>


<h2>Ang katunayan ng ZAP Root CA</h2>
<p>
	Imagine you're visiting multiple SSL protected sites. Sa tuwing ang iyong browser ay kumokonek sa katulad ng site, ang katunayan bagong SSL ay magagawa.
	Ngunit, ang katunayan na ito ay hindi pinagkakatiwalaan ng lahat (dahil sa ito ay sariling gawa ng ZAP).
	Sa madaling salita. ang browser ay hindi tanggap sa sa ibang katunayan sa kabilang banda.
	Siguro'y pamilyar ka sa mga sitwasyong ito, kung ang yong browser ay nag reklamo sa katunayan o sa sertipiko 
kung mali pero manwal mong ginawa ito ay isang eksepsyon sa mga rules o tuntunin sa server.  
</p>
<p>
	Ang mga sertipikasyon o mga katunayan ay gawa ng ZAP ay direktang nkakadena sa pagtitiwala kay "ZAP" ugat o Root CA" sertipikasyon. 
	(Para sa mas maraming pang detalye para sa kadena ng pagtitiwala o sa chain of trust, gamitin ang iyong paboritong search engine ;-) )
Ibig sabihin. ikaw (ang iyong browser) ay una na nagtitiwala lamang sa ZAP Root CA. Sa madaling salita,
Kapag ikaw ay nagdagdag ng katunayan ng ZAP Root CA sa iyong listahan ng pinagkakatiwalaan
Root CAs, ang iyong browser ay hindi kilala ng gitnang tao o ang man in the middle. 
</p>

<h3>Gumawa o Bumuo</h3>
<p>
	Kung ikaw ay unang beses pa lamang ng pag gamit ng ZAP, kailangan mong bumuo o gumawa katunayan ng Root CA.
	Kapag nakagawa ka na, kailangan iinstall ito sa iyong browser o sa aplikasyon ng kliyente sa HTTP. Tignan ang seksyon <a href="#install">installation</a> 
para sa mas marami pang detalye.
</p>
<p>
	Sa tuwing mag gegenerate ka ng katunayan ng Root CA ito ay balido lamang ng isang taon. Pagkatapos ng panahon na mayroon ka
sa pag gawa ng bago. <br>
Ang lahat ng nagenerate na sertipikasyon ng Root CA ay may lakas na 2048 bit(RSA with SHA1).<br>
Ang lahat ng na generate na sertipikasyon ng Root CA na may serial na numero "1". 
	Sa lahat ng nagenerate na sertipikasyon ng Root CA ay naglalaman ng mga sumusunod ng mga tagapagkilala:
</p>
<p style="padding-left: 20pt;">
	<code>
	CN = OWASP Zed Attack Proxy Root CA<br>
	L = 87b77fe834b0a301<br>
	O = OWASP Root CA<br>
	OU = OWASP ZAP Root CA<br>
	C = XX<br>
	</code>
</p>
<p>
	Kung mapapansin mo, mayroon itong tagahanap ng lokasyon o "Location Identifier (L) kung saan ito ay hexadecimal na numero lamang.
	Ang numerong ito ay gawa sa dalawang 32bit ng hash ng mga code: user's name o ang pangalan ng gumagamit at ang user's home directory o ang bahay ng derektoryo ng gumagamit.
	Sa ganitong paraan ay magagawa mong malaman ang sariling sertipikasyon gamit ang maraming installation.
	Pero walang paraan, na ang lahat ay kayang malaman ang iyong pangalan gamit ang hash code.
</p>

<h3>Pag angkat</h3>
<p>
	Kapag gumagamit ka ng maraming pag lagay ng ZAP at gusto mong gamitin ang parehong Root CA na sertipikasyon, kaya maaari mo itong i-angkat o kuhain. Gamitin lamang ang isang pag-install ng OWASP ZAP para guamawa ng isang sertipiko ng Root CA. Kopyahin ang file na 'OWASP ZAP/config. xml' mula sa direktoryo ng iyong mga user sa PC, kung saan gusto mong gamitin ang parehong sertipikasyon at pindutin ang 'import' upang i-angkat ito.
</p>
<p>
	Maari mo ring iimport ang sertipikasyon na naka stored sa itom pem files hanggat ito ay magkasama.
ang sertipikasyon ang ang pribadong encrpyted na key ay sa sumusunod na pormat.<br>
 <code><br>
-----BEGIN CERTIFICATE-----<br>
MIIC9TCCAl6gAwIBAgIJANL8E4epRNznMA0GCSqGSIb3DQEBBQUAMFsxGDAWBgNV<br>
BAoTD1N1cGVyZmlzaCwgSW5jLjELMAkGA1UEBxMCU0YxCzAJBgNVBAgTAkNBMQsw<br>
CQYDVQQGEwJVUzEYMBYGA1UEAxMPU3VwZXJmaXNoLCBJbmMuMB4XDTE0MDUxMjE2<br>
MjUyNloXDTM0MDUwNzE2MjUyNlowWzEYMBYGA1UEChMPU3VwZXJmaXNoLCBJbmMu<br>
MQswCQYDVQQHEwJTRjELMAkGA1UECBMCQ0ExCzAJBgNVBAYTAlVTMRgwFgYDVQQD<br>
Ew9TdXBlcmZpc2gsIEluYy4wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAOjz<br>
Shh2Xxk/sc9Y6X9DBwmVgDXFD/5xMSeBmRImIKXfj2r8QlU57gk4idngNsSsAYJb<br>
1Tnm+Y8HiN/+7vahFM6pdEXY/fAXVyqC4XouEpNarIrXFWPRt5tVgA9YvBxJ7SBi<br>
3bZMpTrrHD2g/3pxptMQeDOuS8Ic/ZJKocPnQaQtAgMBAAGjgcAwgb0wDAYDVR0T<br>
BAUwAwEB/zAdBgNVHQ4EFgQU+5izU38URC7o7tUJml4OVoaoNYgwgY0GA1UdIwSB<br>
hTCBgoAU+5izU38URC7o7tUJml4OVoaoNYihX6RdMFsxGDAWBgNVBAoTD1N1cGVy<br>
ZmlzaCwgSW5jLjELMAkGA1UEBxMCU0YxCzAJBgNVBAgTAkNBMQswCQYDVQQGEwJV<br>
UzEYMBYGA1UEAxMPU3VwZXJmaXNoLCBJbmMuggkA0vwTh6lE3OcwDQYJKoZIhvcN<br>
AQEFBQADgYEApHyg7ApKx3DEcWjzOyLi3JyN0JL+c35yK1VEmxu0Qusfr76645Oj<br>
1IsYwpTws6a9ZTRMzST4GQvFFQra81eLqYbPbMPuhC+FCxkUF5i0DNSWi+kczJXJ<br>
TtCqSwGl9t9JEoFqvtW+znZ9TqyLiOMw7TGEUI+88VAqW0qmXnwPcfo=<br>
-----END CERTIFICATE-----<br>
-----BEGIN PRIVATE KEY-----<br>
MIICXgIBAAKBgQDo80oYdl8ZP7HPWOl/QwcJlYA1xQ/+cTEngZkSJiCl349q/EJV<br>
Oe4JOInZ4DbErAGCW9U55vmPB4jf/u72oRTOqXRF2P3wF1cqguF6LhKTWqyK1xVj<br>
0bebVYAPWLwcSe0gYt22TKU66xw9oP96cabTEHgzrkvCHP2SSqHD50GkLQIDAQAB<br>
AoGBAKepW14J7F5e0ppa8wvOcUU7neCVafKHA4rcoxBF8t+P7UhiMVfn7uQiFk2D<br>
K8gXyKpLcEdRb7K7CI+3i8RkoXTRDEZU5XPMJnZsE5LWgNQ+pi3HwMEdR0vD2Iyv<br>
vIH3tq6mNKgDu+vozm8DWsEP96jrhVbo1U1rzyEtX46afo79AkEA/VXanGaqj4ua<br>
EsqfY6n/7+MTm4iPOM7qfoyI4EppJXZklc/FbcV2lAjY2Jl9U6X7WnqCPn+/zg44<br>
6lKWTnhAawJBAOtmi6nw8WjY6uyXZosE/0r4SkSSo20EJbBCJcgdofKT+VCGB4hp<br>
h6XwGdls0ca+qa5ZE1a196dpwwVre0hm88cCQQDrUm3QbHmw/39uRzOJs6dfYPKc<br>
vlwz69jdFpQqrFRBjVlf4/FDx3IfjpxHj0RgiEUUxcnoXmh/8qwh1fdzCrbjAkB4<br>
afg/chTLQUrKw5ecvW2p9+Blu20Fsv1kcDHLb/0LjU4XNrhbuz+8TlmqstOMCrPZ<br>
j48o5+RLKvqrpxNlMeS5AkEA6qIdW/yp5N8b1j2OxYZ9u5O//BvspwRITGM60Cps<br>
yemZE/ua8wm34SKvDHf5uxcmofShW17PLICrsLJ7P35y/A== <br>
-----END PRIVATE KEY-----<br>
  	</code><br>
At oo iyan ang ehemplong gagana - ito ay ang sertipikasyon ng  Superfish!
</p>

<h3><a name="view">Sa paningin</a></h3>
<p>
	Sa mga opsyonal sa dayalogo ng ZAP ikaw nakakakita ng raw bytes (hexadecimal encoded)
mg sertipiko. Ang Opsonal "tingin "sinusubukan ang pag gamit ng deafault system ng pag tingin na gamit sa ".CER"na files. Sa windows, ito ay tipikal na nagkakapareho.
sa pag exxport ng sertipikasyon at sa dobleng pag pindot dito.
</p>

<h3>Isave/Pag export</h3>
<p>
	Sa mga opsyonal na dayalogo ng ZAP ikaw ay nakakakita ng raw bytes (dexadecimal encoded)
sa mga sertipikasyon. Marami sa mga programa ay gumagamit ng simpleng pormat sa pag import/ pag export. Kapag pinindot ang écpor't', ang bytes ay masesave sa disk.
	Ito ay pantay sa pag select ng lahat ng mga gawa ang CTRL+C(copy to clipbioard) at ang pag save sa bagong .CER na file (na ang simpleng teksto ay makikita mo sa dayalogo/).
</p>

<h2><a name="dynamic_certificates">Daynamikong sertipikasyon</a></h2>
<p>
	Sa bawat ZAP ay may pagkakataong gumamit ng sariling sertipikasyon ng Root. Siyempre, ikaw rin
Pag import root ng sertipikasyon, para magamit sila sa maraming makina.
	Kapag ginagamit, magkakaroon ng sub-certificated sa oras ng HTTPS.
hinihiling na may pagkukunan.
	Ibig sabihin ang Root CA na katunayan o sertipikasyon ay gamit ng may ari.
</p>
<p>
	Ang bawat daynamikong nabuo ng sertipiko ay may bisa sa 1000 araw. <br>
Ang bawat daynamikong nabuo ng sertipiko ay 2048 bit strong (RSA na may SHA1). <br>
Ang bawat daynamikong nabuo ng sertipiko ay may random na serial numero. 
	Sa bawat daynamikong na generate ng sertipikassyon ay naglalaman ng mga sumusunod ng pagkakakilanlan:
</p>
<p style="padding-left: 20pt;">
	<code>
	CN = www.example.com<br>
	E = owasp-zed-attack-proxy@lists.owasp.org<br>
	C = XX<br>
	O = OWASP<br>
	OU = Zed Attack Proxy Project<br>
	</code>
</p>
<p>
	<i>
		Gilid na sulat:
		Sa tuwing mag iistart ng ZAP, Sa loob ng isang random na serial na numero ay offset ay nabuo.

 
Context | Request Context.
		Ang daynamika na nagenerate ng sertipikasyon ay ma ooffset dagdag pa nito ang pagtaas ng pag bilang. Halimbawa, mayroon nang unang daynamikong sertipiko ang
serial numero ay 2314, ang pangalawang isa 2315, ang ikatlong isa 2316 at iba pa.
		Ang rason para dito ay simple, ang browser ay isang sertipkong caching din.
		Kapag na-restart mo ang ZAP ngunit huwag mong i-restart ang browser, maaari itong mangyari,
nakikita ng browser ang parehong sertipikasyon ngunit may iba't ibang serial numero.
		Sa bandang huli, ang browser ay mag co complain tungkol sa mga reject sa hindi tinanggap ng sertipikasyon.
		Sa pag gamit ng ilang mga offset na( internal ng 48bit at ilang numero ), ang tyansa.
ay 1 to 281.474.976.710.656 kapag inulit sa umpisa ang ZAP, ang serial numero.
ibang-iba ang offset.<br>
		Kaya sa mga pambihirang kaso, natuklasan mo na ang browser mo ay nagreklamo
isang sira na serial na numero sa loob ng sertipiko, i-restart lang ang iyong browser ;-)
	</i>v.
</p>

<h2><a name="install">Àng pag install ng ZAP Root CA na sertipikasyon</a></h2>
<p>
	Kahit na ang HTTPS na kliyente na gusto mong gumamit, ay kaialngang may alam sa OWASP Root CA na sertipikasyon o katunayan. Tipikal na meron kang manwal ng iinstall ang ZAP na katunayn sa iyong browser na listahan sa pinakakatiwalaang root na sertipikasyon.
</p>
<h3>Windows / Internet Explorer</h3>
<p>
	Ang pinakamadaling paraan ay pindutin ang view at piliin ang 'I-install ang certificate'. Bilang kapalit, maaari mong i-save / i-export ang iyong nabuong sertipiko (kopyahin ito sa target mo na computer) at idoble ang pag pindot ng. Cer file. 
	Kapag ginagawa ito, ang regular na Windows wizard para sa tulong sa pag-install ng sertipikasyon ay mag pa pop up.
	In this wizard manually choose the certificate store. Huwag hayaan ang Windows na pumili nang awtomatiko sa store ng sertipiko.
	Pumili ng 'pinagkakatiwalaang mga sertipiko ng root' bilang store at i-finalize ang wizard.
</p>
<p>
	Matapos ang matagumapay ng pag install, maari mo nang icheck ang sertipikasyon mo.
</p>
	<ol>
	<li>Oumunta sa opsyonal na internet</li>
	<li>I-tab ang nilalaman</li>
	<li>Pindutin ang sertipikasyon</li>
	<li>Pindutin ang tab na pinagkakatiwalaan na sertipikasyon ng root</li>
	<li>Ang OWASP ZAP na root CA ay kailangang naroon</li>
	</ol>

<h3>Mozilla Firefox</h3>
<p>
	Ang Firefox ay gumagamit ng sariling sertipikasyon na store. Kayat kung bakit kailangan mong i-import ito nang dalawang beses, kapag gumagamit ka ng parehong browser sa mga windows,.
	Ang pag-install at huli sa pagpapatunay na tapos na sa parehong dayalogo ng mga kagustuhan:
</p>
	<ol>
	<li>Pumunta sa preferences</li>
	<li>Tab Advanced</li>
	<li>Tab Cryptography/Certificates</li>
	<li>Pindutin ang View Certificates</li>
	<li>Pindutin ang Authoties tab</li>
	<li>Pindutin ang import at pumili ng mga nala saved <tt>owasp_zap_root_ca.cer</tt> file</li>
	<li>Sa wizard ang napiling magtiwala sa sertipiko na ito upang kilalanin ang mga web site (tingnan ang mga kahon)</li>
	<li>Tapusin ang wizard</li>
	</ol>

<h2 style="color: red; font-weight: bold; text-decoration: underline;">Mga Panganib</h2>
<p>
	<b> Atensyon, may mga panganib! </> <br>
Kapag nagdadagdag ng self generated ROOT CA ang sertipikasyon sa iyong listahan ng mga pinagkakatiwalaang
Mga sertipiko ng ugat, ang lahat ng may sertipiko ng root ay maaaring magpadala ng data
sa iyong system (browser).

	Ibig sabihin kapag hindi mo sinusubukan sa isang ligtas na kapaligiran, ngunit sa
produktibong mga makina, magkaroon ng kamalayan na binubuksan mo ang isang karagdagang pag-atake
mga pwedeng magdala at magbigay ng mga virus sa iyong system.  
</p>

<h2>Tingnan din

 Certificates for Ssl client certificates</h2>
<table>
<tr><td>&nbsp;&nbsp;&nbsp;&nbsp;</td><td>
<a href="certificate.html">Ma sertipiko</a></td><td>para sa SSL na sertipiko ng kleyente</td></tr>
</table>

</body>
</html>
